当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116712

漏洞标题:WiFi网络安全&终端安全之漫游深圳图书馆内网

相关厂商:深圳图书馆

漏洞作者: 末笔丶

提交时间:2015-05-28 15:51

修复时间:2015-06-02 15:52

公开时间:2015-06-02 15:52

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-28: 细节已通知厂商并且等待厂商处理中
2015-06-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

不是我一个的功劳.在此感谢我的小伙伴!!!!!
不是我一个的功劳.在此感谢我的小伙伴!!!!!
不是我一个的功劳.在此感谢我的小伙伴!!!!!
很重要的事情要说三遍!!!

详细说明:

image001.jpg

image002.jpg

image003.jpg

image004.jpg


某日本来只是打算跟小伙伴们去图书馆充充电…然后手贱去调戏终端..尝试几次发现了两种可以绕过沙盒的方法.
一.搜索框-五笔输入法-帮助-浏览文件..(有点忘记了)
二.任务管理器-重启-系统还在启动时候win+e(d).等沙盒启动后会卡出.
另外发现终端机内置的密码都是相同的.并且开ipc$.很容易直接沦陷所有终端机的…

image005.jpg


后来因为其中的一个小伙伴改了桌面放上网show了…发生了点小插曲然后我不多说了.
下面的内容就没有让那个小伙伴接触了…
然后是另外联系了一个小伙伴一起完成了下面的内容…

image006.gif


之前绕过沙盒后.对内网结构有个初步的了解…并记录下了对外的ip段.其中一个页面内对外访问的只有数据库监控.其他调用的基本上都是内网ip…

image007.jpg


通过图书馆四楼爱来吧的wifi热点接入到了图书馆的网络中…

image008.jpg


发现只是对所有出外网的web的数据请求做了重定向.对内部网络(重要区域)未进行隔离导致内网被漫游.
另外这设计的也不合理..最后有说..

image009.jpg


image010.jpg

image011.jpg

image012.gif


可以访问得到,数据库监控、专业设备监控、自助图书馆监控有些甚至不用密码都可以访问,看IP地址全是在10.0.99.X这个段, 那么我就针对这个段搞, 不然全部扫那不太科学,太大了。 打开nmap扫描的时候,刚好有一妹子坐在我旁边, 我马上把电脑盖上..生怕被发现我在干嘛.
后来去了第4层信息服务区,找了个没人的位置坐下来,靠墙的.. ..
这样麻麻再也不用担心我被人偷看了. 对10.0.99.X段的信息收集了些端口信息:

image013.gif


全是服务器, 2台打印机. 打印机我不敢动, 因为我怕metasploit攻击打印机会自动打印出纸来. 对我没什么好处.
然后通过扫口令扫描、信息探测、各种猜想、然后各种收集, 3个小时在信息收集中过去了.
其中得到了一台mssql数据库的弱口令,sa权限. 然后用sqltools连接,执行命令出现:
“Error MessageSQL Server 阻止了对组件 'xp_cmdshell' 的 过程'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。
系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息,请参阅 SQL Server 联机丛书中的 外围应用配置器。 ”
其实我以为很好解决,这台服务器不在话下了.
【修复方法】
;EXEC sp_configure 'show advanced options', 1 --
;RECONFIGURE WITH OVERRIDE --
;EXEC sp_configure 'xp_cmdshell', 1 --
;RECONFIGURE WITH OVERRIDE --
;EXEC sp_configure 'show advanced options', 0 --
咦,执行命令怎么还显示被阻止了呀?
【恢复方法2】
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

image014.gif


就先把这台服务器放着不管了,因为那时候也快4点了,要回家了嘛. 查看扫描得到了几个ftp弱口令.和 匿名登录。
尝试了几个都是卡死动不了。 然后把所有扫描的日志保存在txt回家整理
因摄像头特别的多,我不得不小心点,不知道往那看的, 我只好把电脑侧着玩
因前天对于13这个IP提权出现错误. 可能是因为我长的太帅的原因, 今天不阻止我了,
直接让我添加了用户进入. 登录的时候提示 不允许远程终端登录什么的. 这问题比较好解决.

image015.gif


获取了管理员的hash, 既然密码内网不能通用.通用的话就太没挑战了。 开启Metasploit奋战了20分钟.
攻破一台, IP:101(因这是小说,很多细节的东西我也不想说,比较基础),再次获取了HASH值, 看来密码没有规律. 只好收集服务器的信息.

image016.gif


另一个段的,或许这个段是第4层楼的工作人员,还有一些机器.
咦,101不是服务器监控嘛,

image017.gif


然后从数据库读取出密码:

image018.jpg


因不知道什么方式加密,然后就没有看了.
待我很多东西做完,我必定用心研究加密解密呀。

image019.jpg


通过1小时的奋战, 不知不觉中我已经入侵了多少台了, 就算有人在后面看我, 我也注意不到呀. 有点投入 通过多台的信息收集,获取了所有路由器交换机配置的信息.

image020.gif


你没有听错,是所有的交换机路由配置的文件.
分析配置文件..发现radius的key .而库内容肯定wifi验证的数据即读者身份证.读者密码.读者手机…
以及snmp可读写的团体字符串…
另外个人观点 一个企业用radius不一定安全.但是不用radius/Portal 一定不安全;

image021.jpg


image022.gif


然后对配件文件中密文进行解密….

image023.gif


这张拓扑图让我更清楚看到内网的情况,如何搭建的. 这样的搭建方法挺专业的嘛,再专业安全没做好就是渣呀. 那么我就得到了Web服务器在何处了

image025.gif


两小时过去了, 得到的东西越来越多了. 包括一些很敏感的文件,这时候让我紧张起来了,
然后我带上耳机,敲键盘手都抖,让自己放松下来...如果这点镇定都没有. 以后怎么混呢.

image026.jpg


再次通过扫描metasploit,信息收集,服务器的敏感文件. 获得多台服务器. 其中有台数据库存放着用户7W 资料 帐户、密码、邮箱、等,
最后就拿了工作人员的邮箱数据为了证明…

image027.gif


这些东西我当然不想碰, 如果把DHCP停掉,可想一下,整个图书馆的网络就瘫痪了,或者如果把网关or dns 指向特别的地方…我就不多说了…

image028.gif


看到钱的数目,或许是因为钱.感觉此水不碰好呀.....
网络拓扑结构设计错误.
发现终端只对80端口的数据进行了重定向.必须要经过读者帐号验证后才进行放行.当有人绕出了沙盒后可以通过其他端口进行数据传输
对wifi接入的客户端不验证就不转发外网数据.看起来很安全对不对.但仔细的会发现.在没有验证的情况还是能通过iodine把数据通过dns通道的方式传输!..
Snmp读写字符串为默认!!!

漏洞证明:

因为文件有多..我就打个包了..
链接: http://pan.baidu.com/s/1c04gzmC 密码: hwz4

修复方案:

版权声明:转载请注明来源 末笔丶@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-02 15:52

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-30 16:36 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    现在在深圳了?@末笔丶

  2. 2015-06-02 15:57 | 奶权 ( 实习白帽子 | Rank:52 漏洞数:11 | 资深小白)

    只试过绕过后搭建vpn连wifi

  3. 2015-06-09 22:29 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    打开nmap扫描的时候,刚好有一妹子坐在我旁边, 我马上把电脑盖上..生怕被发现我在干嘛. 注孤生。

  4. 2015-06-18 11:07 | 铁血 ( 路人 | Rank:14 漏洞数:5 | 非专业的爱好者,纯粹爱好。)

    ╮(╯▽╰)╭ 其实南师大图书馆也出现这个情况,提报了,人家都不重视,,,,,,,,,

  5. 2015-06-25 17:26 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    走哪日哪,呵呵,就怕你不小心走到FBI总部了